Webové aplikace

Rozdíly oproti webové stránce: interaktivní řádově vyšší počet požadavků práce s datovým skladem problémy se souběhem více uživatelů Webová aplikace se skládá z webových stránek Webová aplikace je serverová aplikace zahltit server není problém zahltit server znamená odříznutí všech uživatelů

Rozdíly oproti lokální (nesíťové) aplikaci vzdálený přístup problémy se souběhem více uživatelů potíže s uchováváním stavu závislost na webových prohlížečích vysoká dostupnost levnější údržba aplikace

Nastavení dat v HTTP hlavičkách: nastavení ukládání do cache (mezipaměti) Nastavení informací pro vyhledávače a prohlížeče: klíčová slova (keywords) autor (author) popis (description) Při nastavování těchto metadat je nutné brát v úvahu, že vyhledávače se brání ovlivňování výsledků. pro webové aplikace není příliš významné

bit&utmul=cs&utmje=1&utmfl=10.0%20r45&utmcn=1&utmdt=MENDELU&utmhid= &utmr=-&utmp=%2Fcz&utmac=UA &utmcc=__utma%3D %3B%2B__utmz%3D utmcsr%3D(direct)%7Cutmccn%3D(direct)%7Cutmcmd%3D(none)%3B HTTP požadavků

rychlost závisí na neovlivnitelných okolnostech fyzikální omezení přenosu mendelu.cz embarcadero.com

POST HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x- shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ) Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate Host: login.szn.cz Content-Length: 131 Connection: Keep-Alive Cache-Control: no-cache Accept-Language: cs loggedURL=http%3A%2F%2F .seznam.cz%2Fticket&serviceId= &forceSS L=0&username=mrkvicka&domain=seznam.cz&password=cibulka&js=1

Cache = mezipaměť Při prvním požadavku na webovou stránku je nutné načíst všechny externí soubory. obrázky, styly, skripty (klientské) Při dalším požadavku na stránku není nutné stahovat soubory znovu – pravděpodobně se nezměnily. Cache je dočasná paměť pro uložení webových stránek. dramatické zvýšení rychlosti načítání pevný disk nebo RAM Existuje také sdílená cache – velké organizace, někteří poskytovatelé internetu

Systém pro definovaní doby uchovávání stránky (lifetime, time-to-live, ttl) v cache prohlížeče. První načtení stránky: 55 požadavků ( B z toho B stránka) Druhý požadavek na stránku: 9 požadavků (2175 B) Obnovení stránky: 54 požadavků sec14.html sec14.html

Hlavička Cache-control Cache-control: public, max-age= Cache-control: private, max-age=3600, must- revalidate Cache-control: private, no-cache, no-store, must- revalidate Koncept 1 soukromý vs. veřejný obsah (public × private × no- cache × no-store) rozhoduje zda uložit nebo neuložit

Koncept 2 – vypršení (expiration) doba platnosti [s]: max-age=3600 povinné ověření: must-revalidate Koncept 3 – ověření platnosti Pokud klient požaduje zaručeně čerstvou stránku může odeslat hlavičku (CTRL + F5): Pragma: no-cache Server musí buď odpovědět platnou stránkou nebo klienta přesvědčit, že jeho verze je platná (HTTP status 304).

Podle data poslední změny Server může odeslat hlavičku udávající poslední změnu souboru: Last-Modified: Wed, 13 Oct :43:02 GMT Klient může ověřit zda došlo ke změně posláním hlavičky: If-Modified-Since: Wed, 13 Oct :43:02 GMT Podle obsahu Server může odeslat kód, který se změní při změně obsahu: ETag: "3fe48-527f-52237c0" Klient může ověřit zda došlo ke změně posláním hlavičky: If-None-Match: "38cac-1f bcc0"

Minimalizace objemu přenášených dat mezi serverem a klientem Ověření platnosti = přenos přibližně 500B Pro statický obsah je zajištěno automaticky (posílá se Last- modified) Pro dynamický obsah nutno řešit při generování stránky (ETag) zejména pro skripty, které vracejí obrázky a velké soubory U dynamicky generovaných stránek je vhodné zajistit, aby se generovaly jen pokud je to nutné. snížení zátěže serveru

přihlášení, stav formuláře, aktuální stránka… protokol HTTP je nestavový Z pohledu serveru není mezi jednotlivými požadavky klientů žádná spojitost. Jedna akce uživatele odpovídá mnoha HTTP požadavkům. Požadavky jednotlivých klientů se na serveru prolínají. Udržování stavu webové aplikace je možné několika způsoby. všechny jsou špatné a některé ještě horší…

Map of the internet (2006) o většina PC nemá statickou IP adresu o většinu PC používá více jak jeden uživatel o na většině PC je spuštěn více jak jeden program

GET je základní HTTP požadavek Udržování stavu metodou GET znamená vkládání parametrů do URL. Není nijak zabezpečeno, adresu je možné podstrčit Pouze malý objem textových dat (2 048B), bez speciálních znaků (funkce urlencode() ) K předávání dochází pouze při kliknutí na odkaz nebo odeslání formuláře. Uživatel může libovolně měnit N

POST je jiný způsob odeslání HTTP požadavku, při kterém klient odesílá (post) serveru data. POST požadavek vzniká pouze při odeslání formuláře (method='post') nebo JavaScriptem. Není nijak zabezpečeno. Data jsou ve zdrojovém kódu HTML stránky. Pouze textová data bez speciálních znaků (urlencode()) Je mírně odolnější proti podstrčení a proti změně ze strany uživatele. Není univerzální, musí se explicitně zopakovat při každém požadavku.

Data pro udržení stavu se ukládají v prohlížeči nespolehlivé uživatel může libovolně mazat a měnit nebezpečné není šifrováno přístupné komukoliv Nastavuje se vypršení cookie souboru po zavření prohlížeče (dočasný cookie v RAM) doba platnosti (tj. platné i po zavření prohlížeče, trvalý cookie na HDD) Do cookie se dají ukládat jen textová data (max. 4096B na doménu), přenáší se při každém požadavku automaticky.

Internet Explorer %USERPROFILE%\Cookies Firefox %USERPROFILE%\Data aplikací\Mozilla\Firefox\Profiles\hash.default\cookies.txt Opera %USERPROFILE%\Data aplikací\Opera\Opera\Profile\cookies4.dat Internet Explorer ( PREF ID=e0e8437d79da2a4e:LD=en:NR=30:TM= :LM= :S=I1OK7fza FXPVH5SQ google.cz/ *

Data pro uchování stavu se ukládají na serveru. Vzniká problém identifikace klienta Automatická správa session: při prvním požadavku server generuje identifikační kód session vytvoří prostor pro data identifikační kód zašle klientovi klient uloží kód do dočasného cookie souboru s každým požadavkem zašle klient serveru kód session

Umožňuje ukládání větších objemů dat i netextových dat. Data jsou uložena na serveru a přístupná pouze webovému serveru. Přenáší se pouze identifikační kód (SESSION ID). Slabým místem je identifikační kód identifikační kód je možno zcizit nebo podstrčit (session fixation) po zapomenutí kódu (zavření prohlížeče) je session nepřístupná Nejpoužívanější způsob ukládání stavu webových aplikací.

viz příloha sion-soubory.pdf sion-soubory.pdf sion-databaze.pdf sion-databaze.pdf Uchování stavu je nutná podmínka k realizaci zabezpečení

Problém 1: uživatel Problém 2: uchování stavu přihlášení, zabránění zcizení stavu Problém 3: zabezpečení jména a hesla Problém 4: kontrola uživatelských vstupů

Jméno kočičky není dobré heslo tedy pokud se kočička nejmenuje XdTg42W Jakékoliv heslo složené ze slov je slabé Jakékoliv heslo napsané na nástěnce je slabé Čím častěji je heslo použité tím je slabší Pro srovnání: slušný jazyk = slov 8 míst = kombinací 10 míst = kombinací

autentizace – authentication – ověření identity uživatele autorizace - authorization – ověření oprávnění uživatele autentification – zkomolenina authentication 4 způsoby ověření identity uživatele: co víte (heslo) co máte (klíč, certifikát – velmi dobré) kdo jste (otisk prstu – nepřesné) co děláte (hlasu, rukopisu – napodobitelné) 2F (two-factor) ověřování

Heslo je možné zadat do HTML formuláře Odesílá se nešifrované (plaintext) v POST požadavku. Odposlechnutí hesla je jednoduché. Podstrčení formuláře je jednoduché. Pro přihlášení je možné využít přihlášení protokolu HTTP Odposlechnutí hesla je složitější

Při přihlášení přes webový formulář se posílá heslo jednorázově (při odeslání formuláře) po ověření hesla musí server uchovávat stav přihlášení problém identifikace klienta různé metody verifikace kontrolní kódy, časově omezené kódy není spolehlivé

POST HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms- xpsdocument, application/xaml+xml, application/vnd.ms-excel, application/vnd.ms- powerpoint, application/msword, */* User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ) Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate Host: login.szn.cz Content-Length: 131 Connection: Keep-Alive Cache-Control: no-cache Accept-Language: cs loggedURL=http%3A%2F%2F .seznam.cz%2Fticket&serviceId= &forceSSL=0&use rname=mrkvicka&domain=seznam.cz&password=cibulka&js=1

Při přihlášení pomocí HTTP se heslo odesílá při každém požadavku je možné uchovávat stav přihlášení nebo je možné ověřovat jméno a heslo při každém požadavku heslo je mnohočetným přenosem oslabováno je nutné kombinovat s šifrováním umožňuje ukládání Session do databáze odpadá problém identifikace klienta 2. nejbezpečnější způsob 1F přihlašování (hned po přihlášení osobním certifikátem)

2 základní varianty: basic jednoduché ověřování heslo se posílá nešifrované digest komplexní dvoustranné ověřování heslo se nikdy neposílá plaintextově umožňuje ověření integrity stránky ověřování každého přístupu braní se opakování požadavku složitá implementace

GET /eyen2/ HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x- shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Accept-Language: cs UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ) Host: virklis.cust.ignum.cz Connection: Keep-Alive

HTTP/ Unauthorized Date: Thu, 16 Apr :26:07 GMT Server: Apache X-Powered-By: PHP/5.1.6 Set-Cookie: PHPSESSID=05pbojjjidmtu8s94avgp3djo0; path=/ Last-Modified: Thu, 16 Apr :26:07 GMT Cache-control: private, no-cache, no-store, must-revalidate Set-Cookie: PHPSESSID=f2rsf9ijsfk97vmifk4pkpajt1; path=/ WWW-Authenticate: Basic realm="Eyen - Amadeo installer" status: 401 Unauthorized Content-Length: 1039 Keep-Alive: timeout=15, max=64 Connection: Keep-Alive Content-Type: text/html;charset=utf-8;language=cs

GET /eyen2/ HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x- shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Accept-Language: cs UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ) Cookie: PHPSESSID=f2rsf9ijsfk97vmifk4pkpajt1 Connection: Keep-Alive Host: virklis.cust.ignum.cz Authorization: Basic bG9naW46bW9qZXRham5laGVzbG8=

base64_decode(‘bG9naW46bW9qZXRham5laG VzbG8=‘); login:mojetajneheslo

GET /eyen/ HTTP/1.1 Accept: */* Accept-Language: cs UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ) Host: Connection: Keep-Alive Pragma: no-cache Cookie: PHPSESSID=3cf24mkcm3u6mb91m65aah8s90

HTTP/ Unauthorized Date: Thu, 16 Apr :33:28 GMT Server: Apache/ (Win32) DAV/2 mod_ssl/ OpenSSL/0.9.8i SVN/1.5.4 PHP/5.2.7 X-Powered-By: PHP/5.2.7 Last-Modified: Thu, 16 Apr :33:28 GMT Cache-control: private, no-cache, no-store, must-revalidate WWW-Authenticate: Digest realm="EyenInstaller", qop="auth", nonce="cbf80c608e0ba3bfcaf8ec4d1f3ea0cc", opaque="ceef418ef e6755e91d68b01" Content-Length: 1557 Connection: close Content-Type: text/html;charset=utf-8;language=cs

GET /eyen/ HTTP/1.1 Accept: */* Accept-Language: cs UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR ;.NET CLR ;.NET CLR ;.NET CLR ) Cookie: PHPSESSID=3cf24mkcm3u6mb91m65aah8s90 Connection: Keep-Alive Pragma: no-cache Authorization: Digest username="login",realm="EyenInstaller",nonce="cbf80c608e0ba3bfcaf8ec4d1f3 ea0cc",uri="/eyen/",cnonce="757efac677e3fe31bb5e4744b212822f",nc= ,response="8699a023df2dc7205f51c29a35ad51e0",qop="auth",opaque="ce ef418ef e6755e91d68b01" Host:

nonce – token unikátní pro každé přihlášení cnonce – unikátní token generovaný klientem nc – počet použití nonce response – $a1_hash = md5($user_name.":".SYS_REALM.":".$password) $a2_hash = md5($_SERVER['REQUEST_METHOD'].":". $digest['uri']); $response = md5($a1_hash.":".$digest['nonce'].":". $digest['nc'].":".$digest['cnonce'].":".$digest['qop'].":".$a2_hash); qop – auth/auth-int – přihlášení/přihlášení + verifikace poslaného obsahu opaque – kontrolní kód $opaque = md5(uniqid(rand(), true).SYS_REALM)

Šifrovaný přenos je možný pomocí protokolu HTTPS Funguje jako obálka protokolu HTTP. Při šifrovaném přenosu zbývá zabránit podstrčení stránky K ověření pravosti stránky slouží certifikáty. Šifrovaný přenos není nikdy cachovaný zpomalení přenosu zvýšení zátěže serveru

Cílem certifikátu je ověřit pravost subjektu Každý certifikát musí ověřit certifikační autorita. Existují i self-signed certifikáty pro testovací účely

Prakticky stačí použít jednosměrný kódovací algoritmus sha1, md5, tth, atd... dekódování je natolik náročné, že se útočník raději zaměří na jinou část aplikace Bezpečnější je použít (jednosměrný) šifrovací algoritmus. Vyžaduje uchování/generování klíče. Hesla by měla být uložena v DB s vhodně nastavenými oprávněními.

Aby byl šifrovaný přenos bezpečný, musí být platné certifikáty. Heslo musí být silné, jinak se dá uhádnout a žádné zabezpečení nepomůže. Uživatel musí být ostražitý. 2F zabezpečení je úplně někde jinde než 1F zabezpečení. 2F zabezpečení není zadaní dvou hesel!

Ošetření speciálních znaků při vkládání dat do databáze (pg_escape_string()) SQL injection uvozovky, znak #0 podle DB serveru případně i další Ošetření speciálních znaků při zobrazování stránky na webu (html_special_chars()) Cross site scripting (XSS) HTML značky Skripty na straně klienta

alert(‘no nazdar'); fix/?id=Driver%20error fix/?id=Driver%20error Vzhledem k tomu, že escapování je nutné u každého řetězce – mají PHP funkce k tomu určené velmi krátké názvy mysql_real_escape_string(htmlspecialchars($st ring, ENT_QUOTES, 'UTF-8')); pokud je to možné je dobré ukládat data escapovaná fix/?id=%3C%3cscript%3Ef=String.fromCharCode;document.images%5B5%5D.src=f%28104%29%2bf%28116%29%2bf%28116%29%2bf%28112%29%2bf%2858 %29%2bf%2847%29%2bf%2847%29%2bf%28105%29%2bf%28109%29%2bf%2897%29%2bf%28103%29%2bf%28101%29%2bf%28115%29%2bf%2846%29%2 bf%28101%29%2bf%28110%29%2bf%2899%29%2bf%28121%29%2bf%2899%29%2bf%28108%29%2bf%28111%29%2bf%28112%29%2bf%28101%29%2bf%2 8100%29%2bf%28105%29%2bf%2897%29%2bf%28100%29%2bf%28114%29%2bf%2897%29%2bf%28109%29%2bf%2897%29%2bf%28116%29%2bf%28105 %29%2bf%2899%29%2bf%2897%29%2bf%2846%29%2bf%2899%29%2bf%28111%29%2bf%28109%29%2bf%2847%29%2bf%28105%29%2bf%28109%29%2b f%2897%29%2bf%28103%29%2bf%28101%29%2bf%28115%29%2bf%2847%29%2bf%2853%29%2bf%2847%29%2bf%2853%29%2bf%28100%29%2bf%2847 %29%2bf%2872%29%2bf%28101%29%2bf%28108%29%2bf%28108%29%2bf%28111%29%2bf%2846%29%2bf%28106%29%2bf%28112%29%2bf%28103%29 %3C/script%3E

je závislé na kontextu ve kterém se data zobrazují buď se musí escapovat při zobrazení nebo při uložení a pak dost složitě konvertovat

function esc($string) { return mysql_real_escape_string( htmlspecialchars($string, ENT_QUOTES, 'UTF-8')); } function esc($string) { return pg_escape_string( htmlspecialchars($string, ENT_QUOTES, 'UTF-8')); }